Troubleshooting: Secure Boot, CSM und GPT richtig reparieren
In der Praxis zeigt sich manchmal: Die Umstellung auf UEFI und Secure Boot läuft nicht immer reibungslos.
Inhaltsverzeichnis
- Seite 1 Übersicht und was zu unterlassen ist
- Seite 2 Secure Boot, CSM und GPT richtig reparieren
- Seite 3 Wenn Secure Boot mehr blockiert als schützt
- Seite 4 TPM und BIOS-Fallen: Funktionierende Systeme können scheitern
- Seite 5 TPM-Fallen und OEM-Sperren
- Seite 6 Bitlocker-Alarm nach BIOS-Update
- Seite 7 Bildergalerie
Fall 1: Wenn plötzlich nichts mehr startet
Ein Klassiker nach der Umstellung auf UEFI: Nach dem Deaktivieren des CSM-Modus verschwinden alle Boot-Optionen. Das sieht dann so aus, als hätte das Mainboard plötzlich jede Information über das installierte System vergessen. Tatsächlich hat es das nicht. Es erkennt nur keine gültige EFI-Struktur. Ursache ist meist eine Systemdisk, die noch im alten MBR-Format vorliegt. UEFI erwartet jedoch eine GPT-Partitionstabelle mit einer eigenen EFI-Systempartition (ESP). Fehlt diese, wird schlicht nichts mehr als "bootfähig" erkannt.
Windows lässt sich in solchen Fällen zwar reparieren, allerdings nicht immer elegant. Wer seine Installation behalten möchte, kann mit mbr2gpt.exe konvertieren, sofern genug freier, zusammenhängender Platz am Anfang der Platte vorhanden ist. Fehlt die ESP ganz, bleibt nur das manuelle Anlegen, oder im Worst Case eine Neuinstallation im nativen UEFI-Modus.
Problematisch sind auch alte Datenträger, die vom System noch als "Legacy Disk" eingestuft werden. Das BIOS blendet sie dann schlicht aus, sobald CSM deaktiviert ist. Das betrifft nicht nur alte SSDs mit Windows-7-Resten, sondern auch Klonmedien und Testinstallationen. Kurz gesagt: Sobald UEFI aktiv ist, zählen nur noch GPT und saubere Bootstrukturen. Alles andere wird ignoriert.
Fall 2: Alte Relikte im Weg
Eine alte SSD, auf der irgendwann einmal Windows 7 lief, steckt noch im System, und blockiert plötzlich den Start. Der Grund liegt selten im Datenträger selbst, sondern in den Überresten alter Bootsektoren. Diese enthalten teils noch aktive Einträge für den Windows Boot Manager, die vom UEFI bevorzugt werden, sobald Secure Boot aktiv ist. Das Resultat: Das System versucht, von einer nicht mehr existierenden Installation zu starten, und bleibt hängen.
Quelle: PCGH
Mit Diskpart die entsprechende SSD auswählen und dann mit dem Befehl clean säubern.
Solche Geistereinträge überstehen mitunter sogar komplette Neuinstallationen, wenn sie auf einer anderen Platte durchgeführt wurden. In der Praxis hilft oft nur, die betroffene SSD kurzzeitig physisch abzustecken und den Bootloader auf der aktiven Systemplatte neu zu schreiben. Alternativ lässt sich das Laufwerk auch über die Eingabeaufforderung mit diskpart clean bereinigen, allerdings vollständig, inklusive Partitionstabelle.
Wer nach der Umstellung auf Secure Boot also plötzlich einen "falschen" Windows-Boot-Manager sieht oder in der Bootliste eine unbekannte Partition auftaucht, hat mit hoher Wahrscheinlichkeit noch alte MBR-Reste im System. Die saubere Lösung lautet dann nicht Workaround, sondern Aufräumen, und zwar auf Dateisystemebene.
Fall 3: Bluescreen nach der Umstellung
Wenn nach der Aktivierung von Secure Boot plötzlich der Bluescreen grüßt, liegt das meist nicht an einem Hardwarefehler, sondern an der Historie des Systems. Viele Windows-Installationen stammen ursprünglich aus Zeiten, in denen der Legacy-Modus Standard war. Beim Wechsel auf UEFI und Secure Boot sucht der Kernel dann nach signierten Starttreibern und findet keine. Der Bootvorgang bricht ab, weil alte Module schlicht nicht mit aktuellen, von Microsoft anerkannten Zertifikaten signiert sind.
Quelle: Reddit/Nonsneakyanon
Nach der Aktivierung verweigert Windows den Start, weil alte, unsignierte Bootmodule aus der Legacy-Ära blockiert werden.
In der Praxis trifft das vor allem Systeme, die mehrfach geupgradet wurden, etwa von Windows 7 auf 10 und später auf 11. Treiberreste aus der Legacy-Ära bleiben im Kernel-Verzeichnis erhalten und sind zwar funktionsfähig, aber unsigniert. Sobald Secure Boot greift, werden sie blockiert. Das Ergebnis: Code 0xC0000225 oder ähnliche Fehlermeldungen, die auf fehlende Startdateien hinweisen.
Manchmal genügt es, betroffene Module zu entfernen oder über den Geräte-Manager neu zu installieren. In hartnäckigen Fällen hilft jedoch nur eine Neuinstallation unter nativem UEFI mit aktiviertem Secure Boot. Kurz gesagt: Wer beim Booten in den Bluescreen läuft, hat kein defektes Windows, sondern eines, das nie für Secure Boot gebaut war. Und selbst wenn Windows wieder startet, lauern weitere Stolperfallen, etwa dann, wenn nach der Secure-Boot-Umstellung plötzlich nur noch Reset hilft. Warum auch Treiber problematisch sein können, lesen Sie auf der nächsten Seite.
Welche Hardware, auf der man das spielen wollen würde, hat damit ein Problem?
Bla, sülz, TPM ist böse, laber, schwafel.
Ja, das ist bekannt. Gibt es sonst noch irgendwas von Wert?
Sischer dat!
1–2 Jahre abwarten, danach hat sich das Problem von selbst erledigt.
Firmen leben vom Verkauf. Wenn das Zeug nicht abgenommen wird, ist man gezwungen, etwas besser zu machen.
Darum werde ich im Leben nicht einfach leichtfertig Windows 11 und 12 einsetzen.
Denn damit kommt die nächste Welle BS auf uns zu …
habe das aktuellste Bios für das Board drauf, auch wegen der CPU Instabilitäten. Windows 11 meldet auch keine Probleme, alles läuft wie es soll. Hat MSI hier was verbockt?
Anbei Screenshots
Cachy Os schaue ich mir erst noch weiter an.
Bis jezt bin ich aber mit Mint sehr zufrieden, KaOs hatte auch was.....ja ist die Neugier...und Pop!_OS will auch noch getestet werden.
Mir macht da "herumexperimentieren" mir den ganzen Distros im Moment mehr Laune als Bf / CoD zocken.
"Nenne keinen weise, ehe er nicht bewiesen hat, daß er eine Sache von wenigstens acht Seiten her beurteilen kann." -Zitat Konfuzius -